如何防范鱼叉式网络钓鱼

引言：很多企业员工都收到过类似这样的邮件：要求其快速行动，并提供用户名和口令，或者通过一个看似合法的（但本质是欺诈性的）网站索要其生日等信息，而且目的是为了验证用户身份。人们的直觉就是单击邮件中的链接，或者打开附件，解决问题。事实上，这种邮件应当引起收件人的警觉，因为它有可能就是钓鱼攻击。

很多企业员工都收到过类似这样的邮件：要求其快速行动，并提供用户名和口令，或者通过一个看似合法的（但本质是欺诈性的）网站索要其生日等信息，而且目的是为了验证用户身份。还有，有的雇员会收到一个请求，要求其更新银行账户的细节，因为其账户遭到了攻击；否则，系统会关闭其账号。

人们的直觉就是单击邮件中的链接，或者打开附件，解决问题。事实上，这种邮件应当引起收件人的警觉，因为它有可能就是钓鱼攻击。

钓鱼攻击与鱼叉式网络钓鱼

钓鱼攻击是网络罪犯吸引用户泄露个人信息的一种技术，网络罪犯也可以将这种伎俩用于虚假网站。钓鱼者的目标是访问网络中的敏感信息。这种攻击往往使用僵尸网络来传播给大量雇员，即使仅有其中的一个人单击了链接，也可以泄露敏感数据，或者在受害者电脑上安装恶意软件，使犯罪者可以坐收渔利。

有时这种攻击专门针对企业内部特定的个人或几个人。或者其攻击对象并非一般个人，而是特定公司的成员，所以，被窃取的信息并不同于一般网络钓鱼所窃取的个人资料，而是具有高度敏感性的资料，如知识产权及商业机密。这种攻击就是鱼叉式网络钓鱼。

鱼叉式网络钓鱼可能更难以检测和识别，因为其诱饵是定制的和个性化的，看起来甚至很合法和合理。这种攻击可能来自即时消息、社交网络，或是电子通信的其它形式。

潜在的受害者往往相信这些邮件就是来自可靠的机构，并且愿意提供个人信息，而不去进一步探究为什么自己会被要求提供这些信息。邮件看似来自可信任的源头，但其实际上是设计来欺骗接收者泄露敏感信息（信用卡号、SSN、PIN等）。

依据鱼叉式网络钓鱼的范围不同，罪犯可能花费大量时间来创建邮件，其使用的都是真实姓名等信息。攻击者还可能创建欺诈性网站以作为诱饵。

如何防范鱼叉式网络钓鱼

防火墙和恶意软件扫描有助于对付鱼叉式网络钓鱼。系统管理员可以使用工具来识别可疑通信，并且阻止雇员在网络上使用社交媒体，在钓鱼攻击成功实施之前就阻止它。但是，技术方案并不能完全阻止鱼叉式钓鱼攻击，而只能在一定程度上识别有恶意目的的电子邮件。

鱼叉式网络钓鱼的成功依靠的是找到公司网络中最薄弱的环节，例如，轻信电子邮件的一个雇员。因为这种攻击的靶子就是用户，用户正是公司防御的第一道防线。安全意识培训就是对付这种攻击的最佳防御。用户们越理解风险，就越有可能避免做出冲动的行为，避免泄露机密信息，也就能够更好地评估每一个要求。

企业还需要对经理和高级官员进行培训，因为这些人往往是鱼叉式钓鱼攻击的主要目标。用知识武装公司的雇员有可能无法完全阻止鱼叉式钓鱼，但却有助于减少其可能性。

大量的对企业网络的攻击都是由于成功实施鱼叉式钓鱼的结果。用知识来武装雇员从而识别多数攻击有助于强化公司的安全。得到良好培训的团队可以更容易识别鱼叉式钓鱼电子邮件、网站等可疑行为。培训应使雇员们理解鱼叉式钓鱼的类型，以及相关风险和如何正确的解决和应对攻击。